防止SQL注入的主要原则是:尽量避免采用拼接字符串的方法。
可以采用存储过程或带参数的SQL语句,如
public int ExecuteNonQuery(string sql, SqlParameter[] paras) { int res; using (cmd = new SqlCommand(sql, GetConn())) { cmd.Parameters.AddRange(paras); res=cmd.ExecuteNonQuery(); } return res; }
防止SQL注入的主要原则是:尽量避免采用拼接字符串的方法。
可以采用存储过程或带参数的SQL语句,如
public int ExecuteNonQuery(string sql, SqlParameter[] paras) { int res; using (cmd = new SqlCommand(sql, GetConn())) { cmd.Parameters.AddRange(paras); res=cmd.ExecuteNonQuery(); } return res; }